Перейти к публикации

Рекомендованные сообщения

1649137534225.jpg

На днях в сети появилась статья о некой уязвимости «Bleeding Pipe» – удалённое выполнение произвольного кода. Это наиболее опасная категория уязвимостей в программном обеспечении, позволяющая получить неконтролируемый доступ к системе. Проблема касается любой версии Minecraft, только если вы играете с модами на серверах.

На самом деле, эта тема уже не нова, администраторам серверов о проблеме известно ещё с начала прошлого года, когда один из проектов был взломан через уязвимость в BdLib. Автору было сообщено о проблеме, но исправлять свою оплошность он отказался под предлогом прекращения поддержки устаревшей версии игры. Началась длинная дискуссия.

🐵 Уязвимости подобного рода появляются из-за лени и неопытности разработчиков модификаций, которые никогда в жизни не слышали о существовании хакеров. Чтобы такая уязвимости появилась, нужно написать специальный код без понимания принципов его работы.

✅ На сборках RedServer поддержка модов осуществляется своими силами. Любые известные уязвимости исправляются в срочном порядке. Потому даже пришлось изменить требования к включению модификаций в сборку – обязательная проверка на наличие уязвимостей, прежде чем мод станет доступен игрокам. Это повлекло за собой перемещение «дюпов» в категорию незначительных ошибок.

Игрокам рекомендуется тщательно относиться к выбору модификаций игры; играть на сборках которые имеют поддержку; запускать игру из под учётной записи с ограниченными правами.

Хорошо в этой новости то, что в западном сообществе наконец-то решили взяться за старую проблему серьёзно. Ждём появления превентивных мер против уязвимостей.

  • Нравится 8
  • WOW! 1
  • Одобряю 1

Поделиться сообщением


Ссылка на сообщение

Разработчик bdlib 13 часов назад пофиксил проблему с уязвимостью на версиях 1.7.10 и 1.10.2. Считайте что ему понадобилось чуть больше года на фикс проблемы из-за лени. Людишки теперь могут просить добавить на ред такие замечательные моды как AE2 Staff и Gendustry.

Поделиться сообщением


Ссылка на сообщение

Радует что есть прогресс. Удалось его распинать.

Вся равно придётся делать свой фикс, чтобы полностью отказаться от использования OIS и спать спокойно. По крайней мере, Gendustry нормально функционирует без этого пакета (он полностью отключен, фиксить было лень ибо scala).

Поделиться сообщением


Ссылка на сообщение

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...